I sin utrettelige jakt på sårbarheter i Office og andre Microsoft-applikasjoner, har sikkerhetsekspert Georgi Guninski avslørt hull i regnearket Excels håndtering av XML-stilark.
Evnen til å bruke XML-stilark til å vise regneark er blant de nye "kule" ting i Excel. I utgangspunktet er egenskapen slått av. Guninski anbefaler at du ikke slår den på, og svarer "nei" dersom et fremmed regneark spør om du vil se på det gjennom et XML-stilark..
Årsaken er at egenskapen ikke verner mot uvedkommende kode i stilarket. Det betyr at det er mulig å utforme et stilark slik at vilkårlig kode eksekveres. Guninski gir et eksempel der stilarket viser innholdet i en filkatalog. Ondsinnet kode kunne utformes slik at langt mer skadelige kommandoer ble kjørt.
![HP Norge](https://images.gfx.no/80x/2757/2757793/hp%2520logo.png)
![](https://images.gfx.no/cx0,cy1137,cw8192,ch2731,2000x/2848/2848258/hp_day4_roz_ambiente_maja_0384_shot_086%2520(1).jpg)
Guninski trekker fram en innrømmelse som Microsofts plattform-ansvarlige Jim Allchin ble presset til under rettshøringen tidligere denne måneden. Allchin argumenterte mot at Microsoft skulle tvinges til å gi konkurrenter innsyn i kildekoden til selskapets systemer og applikasjoner. Han sa det kunne skade nasjonale sikkerhetsinteresser, og til og med true USAs krig i Afghanistan. Under krysseksaminering måtte han innrømme at en av grunnene var alvorlige feil i koden, med derav følgende utnyttbare sårbarheter. (Se artikkelen Allchin: Disclosure May Endanger U.S. som Electronics Week offentliggjorde 13. mai.) Guninski mener innrømmelsen bør betraktes i lys av Microsofts pågående initiativ "Trustworthy Computing".